Recommandé
Contenu connexe
Similaire à セキュアPHP
Similaire à セキュアPHP (20)
セキュアPHP
- 1. SECURE APPS For PHP Fumiaki Matsuzawa
- 4. クロスサイトスクリプティング 対策 • htmlentities(str,ENT_QUOTES, Content-Typeヘッダで定義した文字セット ); 日本語対応 output_handler = mb_output_handler mbstring.language = japanese mbstring.encoding_translation = On mbstring.internal_encoding = UTF-8 mbstring.http_input = auto mbstring.http_output = SJIS
- 5. CSRF対策 • トークンを利用して利用者がサブミットしたものだけ を受け付ける。 session_start(); $token = md5(uniqid(rand(),TRUE)); //トークンを設定 $_SESSION*‘token’+ = $token; //トークンの作成時間を設定(受信側で有効期間を設 定) $_SESSION*‘token_time’] = time(); ・・・ <form method=“post”> <input type=“hidden” name=“token” value=“<?echo $token; ?>”>
- 6. ファイルアップロード攻撃対策 • Php.iniのupload_max_filesize ファイルサイズ最大サイズを設定 • Php.iniのpost_max_size HTTPヘッダのサイズを設定
- 7. セッションハイジャック対策 • トークンやSSL、に加えて、セッション識別 子を使って回避します。 session_start(); If(!isset($_SESSION*‘token_initiated’+)) { session_regenerate_id(); $_SESSION*‘token_initiated’] = TRUE; }
- 8. セッションデータの流出防止 • session_set_handler()関数でセッションメカ ニズムを自分でDBに格納するように定義 する。 session_set_handler(‘_open’, ‘_close’, ‘_read’, ‘_write’, ‘_destroy’, ‘_clean’); セッションデータコンテナを開く、閉じる、 読み込む、書き出す、破棄する、古くなっ たセッションデータを一括削除する。
- 9. ファイルシステム閲覧対策 • ドキュメントルートに設定ファイルを格 納しない。 ・basename()などでパス情報をチェック する。 ・ファイルアクセスが不要なアプリケー ションの 場合はファイルアクセスする関数を禁止
- 11. 共有ホスティング環境対策 共有ホスティング環境(Apache)では ・環境変数にデータベースアクセスIDを持 つ SetEnv DB_USER “app_user” SetEnv DB_PASS “app_pass” $db_user = $_SERVER*‘DB_USER’+; $db_pass = $_SERVER[‘DB_PASS’];
- 12. 共有ホスティング環境対策 パスワードはハッシュ化したもので認証する。 $salt = ‘test’; $password_hash = md5($salt.md5($pass. $salt)); ⇒などでハッシュ化を行い、 DBに登録して、ハッシュ同士を比較する。
- 13. セキュリティに関する構成の point 構成ディレクティブの確認を行う。 allow_url_fopen 無効にする。 disable_functionsに無効化する関数を登録 exec()、passthru()、phpinfo()、popen()、 proc_open()、shell_exec()、system()など。 display_errorsを無効にする。 enable_dlを無効にする。 error_reportingにE_ALLを設定する。
- 14. セキュリティに関する構成の point file_uploadsがファイルのアップロード機能 が 不要な場合は無効にする。 log_errorsを有効にし、定期的にチェックす る。 magic_quotes_gpcを無効にする。【5.4で削 除】 memory_limitを8M程度に設定する。 open_basedirでPHPが開けるファイルを特定